Trojan vermomt zichzelf als MSN Messenger

  • Bron (c) 2006, VirusAlert

PandaLabs detecteerde zopas een nieuwe Trojan, Spymaster.A. Die steelt alle soorten informatie en is een combinatie van spyware en keylogger. Internetactiviteiten, gebruikersnamen, paswoorden,… Niets is veilig voor deze Trojan. Om zichzelf te verstoppen in het systeem van de gebruiker, camoufleert de Trojan zich als MSN Messenger.

Spymaster.A kan zichzelf niet verspreiden. Dat gebeurt door mee te liften in e-mailbijlagen. De Trojan kan ook gedownload worden van websites, P2P-toepassingen, instant messaging of geïnfecteerde CD’s of diskettes.

Zodra de gebruiker de file met Spymaster.A uitvoert, wordt een kopie van de Trojan gemaakt. Die krijgt de naam syscont.exe. Het bijhorende proces krijgt de naam Win serviço. In de task manager, onder actieve processen, verschijnt de Trojan echter onder MSN Messenger. Spymaster.A creëert eveneens verschillende Windows registry entries zodat het programma bij het opstarten van de computer elke keer wordt uitgevoerd.

De Trojan maakt ook een tekstbestand genaamd syslogy.cc. Dit bestand slaat gegevens op over de gebruikte programma’s, bezochte websites en alle informatie ingevoerd op het keyboard. Het bestand wordt vervolgens via FTP doorgestuurd naar een adres waar de aanvaller alle informatie verzamelt.

Om zoveel mogelijk gebruikers te helpen met het desinfecteren van hun computer, biedt Panda Software zijn gratis online oplossing aan, Panda ActiveScan, op http://www.activescan.com.